2017-1536: IBM WebSphere Application Server: Mehrere Schwachstellen ermöglichen u.a. die komplette Kompromittierung
Historie:
- Version 1 (2017-09-01 12:34)
- Neues Advisory
Betroffene Software
Entwicklung
Middleware
Server
Betroffene Plattformen
HP
IBM
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Mehrere Schwachstellen in der IBM SDK Java Technology Edition, die mit dem IBM WebSphere Application Server verteilt wird, ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von sensiblen Informationen sowie eine komplette Kompromittierung des betroffenen Systems. Die Schwachstellen wurden im Kontext des IBM Java SDK Updates im Juli 2017 veröffentlicht und können Konfigurationen des IBM WebSphere Application Servers Traditional, IBM WebSphere Application Servers Liberty und der IBM WebSphere Application Server Hypervisor Edition beeinträchtigen.
Für den WebSphere Application Server Liberty stehen folgende Korrekturmöglichkeiten bereit:
Nach einem Upgrade auf den WebSphere Application Server Liberty Fix Pack 8.5.5.1 oder später ist der Interim Fix PI84267 zu installieren, damit eine Aktualisierung auf das IBM SDK der Version 6R1 Service Refresh 8 Fix Pack 50 erfolgt. Wird auf der gleichen WebSphere Application Server Version statt dessen der Interim Fix PI84265 installiert, wird auf die IBM SDK Version 7 Service Refresh 10 FP10 aktualisiert.
Für die IBM SDK Versionen 7R1 und 8 wird auf die Seite 'IBM Java SDKs for WebSphere Liberty' verwiesen, siehe Referenz anbei.
Alternativ kann zur Behebung der Schwachstellen auch das IBM Java SDK, das mit der WebSphere Application Server Liberty Version 17.0.0.3 verteilt wird, genutzt werden.
Für die Version 9 des WebSphere Application Servers Traditional wird zur Installation eines IBM SDK Updates auf die Beschreibung im IBM Knowledge Center 'Installing and updating IBM SDK, Java Technology Edition on distributed environments' verwiesen, die zu befolgen ist. Dann soll mit dem IBM Installation Manager auf die Online Produkt Repositories für die SDK Installation zugegriffen werden oder der IBM Installation Manager soll genutzt werden, um auf die Pakete über 'Fixcentral' zuzugreifen.
Für die Versionen 8.5.0.0 bis 8.5.5.12 des WebSphere Application Servers Traditional und der WebSphere Application Server Hypervisor Edition stehen die folgenden Update-Optionen zur Verfügung:
Nach einem Upgrade auf den WebSphere Application Server Traditional Fix Pack 8.5.5.1 oder später steht der Interim Fix PI84266 bereit, über den eine Aktualisierung auf die IBM SDK Version 6R1 Service Refresh 8 Fix Pack 50 erfolgt. Auf der gleichen WebSphere Application Server Version kann mittels des Interim Fixes PI84265 auf die IBM SDK Version 7 Service Refresh 10 FP10 aktualisiert werden.
Mittels eines Upgrades auf den WebSphere Application Server Traditional Fix Pack 8.5.5.2 oder später und anschließender Installation des Interim Fixes PI84264 wird ein Update auf die IBM SDK Version 7R1 Service Refresh 4 FP10 durchgeführt.
Ein Upgrade auf den WebSphere Application Server Traditional Fix Pack 8.5.5.9 oder später und Einspielung des Interim Fixes PI84261 aktualisiert auf die IBM SDK Version 8 Service Refresh 4 FP10.
Für Umgebungen, in denen die neue default IBM SDK Version 8 eingesetzt wird, die mit dem WebSphere Application Server Fix Pack 8.5.5.11 oder später gebündelt verteilt wird, ist der Interim Fix PI84263 erforderlich, der zu einer Aktualisierung auf die IBM SDK Version 8 Service Refresh 4 FP10 führt.
Alternativ kann das IBM Java SDK, das mit dem WebSphere Application Server Fix Pack 13 (8.5.5.13) oder später verteilt wird, als Sicherheitsupdate genutzt werden. Die Verfügbarkeit dieser Version ist allerdings erst für den 05. Februar 2018 geplant.
Für die Versionen 8.0.0.0 bis 8.0.0.13 des WebSphere Application Servers und der WebSphere Application Server Hypervisor Edition ist ein Upgrade auf die Version WebSphere Application Server Fix Pack 8.0.0.7 oder später erforderlich. Anschließend kann über den Interim Fix PI84268 auf die IBM SDK Version 6R1 Service Refresh 8 Fix Pack 50 aktualisiert werden.
Alternativ kann die IBM Java SDK Version als Sicherheitsupdate verwendet werden, die mit dem für den 16. Oktober 2017 geplanten WebSphere Application Server Fix Pack 14, Version 8.0.0.14, verteilt wird.
Für die Versionen 7.0.0.0 bis 7.0.0.43 des WebSphere Application Servers und der WebSphere Application Server Hypervisor Edition ist ein Upgrade auf die Version WebSphere Application Server Fix Pack 7.0.0.31 oder später erforderlich. Über den Interim Fix PI84269 wird anschließend auf die IBM SDK Version 6 Service Refresh 16 Fix Pack 50 aktualisiert.
Als Alternative kann das IBM Java SDK, das mit dem für das zweite Quartal 2018 angekündigten WebSphere Application Server Fix Pack 45, Version 7.0.0.45, verteilt wird, als Sicherheitsupdate genutzt werden.
Die hier aufgeführten Details zu den verschiedenen Interim Fixes und verfügbaren IBM SDK Versionen entstammen dem referenzierten IBM Security Bulletin 22007002.
Schwachstellen:
CVE-2017-10107
Schwachstelle in Java SE und Java SE Embedded ermöglicht komplette Kompromittierung der SoftwareCVE-2017-10115
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht Ausspähen von InformationenCVE-2017-10116
Schwachstelle in Java SE, Java SE Embedded und JRockit ermöglicht komplette Kompromittierung der Software
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.